关于恶作剧的公告想到的种种(用DZ7.2以前版本的都来看看吧) [复制链接]
查看:50 | 回复:7

shy9000 · 发表于 2011-10-2 14:18:10

[ol]

[/ol]复制代码这是当年DZ7.1以前版本都会出的一个DZ BUG
看了这段代码的兄弟猜猜作用吧!

修正方案[应该是通用的吧,闪翼的数据库备份里面找到了这个当初写的修正方法]:
找到：admin/cpanel.share.php[ol]

if($cpaccess == 0) {

clearcookies();

showmessage('admin_cpanel_noaccess', 'logging.php?action=login', 'HALTED');[/ol]复制代码改成[ol]

if($cpaccess == 0) {

showmessage('admin_cpanel_noaccess', '', 'noperm');

[/ol]复制代码即可防止恶作剧.
应该是可以通用的,嗯

[ 本帖最后由 shy9000 于 2011-10-2 14:26 编辑 ]

shy9000 · 发表于 2011-10-2 14:19:38

现在的CSRF攻击原理也就是类似于此吧
退出的FORMHASH也就是为了防止这种不人道的事情.
没事翻旧东西科普下

shy9000 · 发表于 2011-10-2 14:21:10

C大改了吧,省得纠结

有容乃大 · 发表于 2011-10-2 14:25:45

拿过去式的漏洞来诋毁C大？

qiqibian · 发表于 2011-10-2 14:26:59

原帖由 有容乃大 于 2011-10-2 14:25 发表

拿过去式的漏洞来诋毁C大？
确实是漏洞 C大需要修改

shy9000 · 发表于 2011-10-2 14:30:35

原帖由 有容乃大 于 2011-10-2 14:25 发表

拿过去式的漏洞来诋毁C大？
也不算过时了吧,这种CSRF在DZ现在的一些插件里面很常见(用来Q J用户做一些操作,嘎嘎),写插件的几个同志里面有一个专门研究这种漏洞的,这个漏洞以前在我们这帮玩家发现之后就报告官方了,所以DZ7.1之后就没有这个BUG了.至于DZ7.1以前呢,我就不知道官方怎么处理了.

shy9000 · 发表于 2011-10-2 14:40:35

admincp.php这个是DZ6.0的位置[ol]

if($cpaccess == 0) {

clearcookies();

loginmsg('noaccess');

[/ol]复制代码

Showfom · 发表于 2011-10-2 15:12:00

关于恶作剧的公告想到的种种(用DZ7.2以前版本的都来看看吧) [复制链接] 查看:50 | 回复:7

关于恶作剧的公告想到的种种(用DZ7.2以前版本的都来看看吧) [复制链接]
查看:50 | 回复:7